【文章內容簡介】 理 體系 ?周期性的風險評估、內部審核、有效性測量、管理評審，是 ISMS規(guī)定的四個必要活動，能確保 ISMS進入良性循環(huán)、持續(xù)自我改進 信息 安全管理體系 44 信息安全管理體系持續(xù)改進的 PDCA循環(huán)過程 45 ?信息安全管理體系是 PDCA動態(tài)持續(xù)改進的一個 循環(huán)體 規(guī)劃和建立 實施和運行 監(jiān)視和評審 保持和改進 輸入 相關方 信息安全要求和期望 相關方 受控的信息安全 輸出 45 ?ISMS的核心內容可以概括為 4句話 1. 規(guī)定你應該做什么并形成文件 ： Plan 2. 做文件已規(guī)定的事情 ： Do 3. 評審你所做的事情的符合性 ： Check 4. 采取糾正和預防措施，持續(xù)改進 ： Act 用 PDCA來理解什么是信息安全管理體系 46 47 ISO/IEC 27000標準 族 27000~27003 27004~27008 27000 信息安全管理體系 概述和術語 27001 信息安全管理體系要求 27002 信息安 全 控制措施實 用規(guī)則 27003 信息安全管理體系 實施指南 27004 信息安全管理測量 27005 信息安全風險管理 27006 提供信息安全管理體系審核 和認證機構的要求 27007 信息安全管理體系 審核指南 27008 信息安全管理體系 控制措施審核員指南 27001 27002 27000 27006 27005 27003 27004 信息安全管理體系基本原理和詞匯 ? ISO27000標準 族日益 完善，已經開發(fā) 和 計劃 開發(fā) 的標準 有 60余項 ?信息安全等級保護也是一種常見的對組織的信息安全進行全面、系統(tǒng)管理的實施 方法 ?依據(jù)《計算機信息系統(tǒng)安全保護條例》對信息安全進行全面管理的一套機制 ?將 信息系統(tǒng)按照 重要性和受破壞危害程度分成五個安全保護等級，不同保護等級的系統(tǒng)分別給予不同級別的保護 ?系統(tǒng) 定級 、安全建設 /整改 、自查 、等級測評 、 系統(tǒng)備案 和監(jiān)督檢查是信息安全等級保護的六個規(guī)定 活動 信息安全等級保護 48 ?參照 NIST SP 800進行建設 也 是一種常見的對組織的信息安全進行全面、系統(tǒng)管理的實施 方法 ? NIST SP 800是由美國國家標準與技術研究院發(fā)布的一系列特別出版物（ Special Publications， SP） ，是 關于計算機安全的指南 文檔 ?美國 《聯(lián)邦信息安全管理法案》（ Federal Information Security Management Act， FISMA），專門指定 NIST負責開展信息安全標準、指導方針的制定 NIST SP 800規(guī)范 49 ? SP 80037描述了此系列規(guī)范遵從的 風險 管理 框架 NIST SP 800規(guī)范 50 安 全 控 制監(jiān) 視風 險 管 理 框 架信 息 系 統(tǒng)分 類安 全 控 制選 擇安 全 控 制實 施安 全 控 制評 估信 息 系 統(tǒng)授 權起 始 點? SP 80037 給出了遞升 的 風險管理方法 NIST SP 800規(guī)范 51 戰(zhàn) 略 風 險階 梯 1組 織（ 治 理 ）階 梯 2使 命 / 業(yè) 務 過 程（ 信 息 和 信 息 流 ）階 梯 3信 息 系 統(tǒng)（ 運 行 環(huán) 境 ）戰(zhàn) 術 風 險? 多 層 全 組 織 的 風 險 管 理? 由 風 險 執(zhí) 行 官 （ 職 務 ） 實 施 ? 與 業(yè) 務 體 系 結 構 和 信 息 安 全 體 系 結 構 緊 耦 合? 系 統(tǒng) 開 發(fā) 生 命 周 期 的 關 注 ? 遵 守 紀 律 和 安 排 的 過 程? 靈 活 機 敏 的 執(zhí) 行三 種典型信息安全管理實施方法 的 區(qū)別 和聯(lián)系 52 應用對象 應用特點 ISMS 各種類型的組織（有體系建立需求） 完全以市場化需求為主，不具備強制性 。以風險管理方法為基礎 ， 如果 實施體系認證，必須完全滿足 27001標準要求 等級保護 國家基礎網絡和重要信息系統(tǒng) 作為我國的一項基礎制度加以推行 ， 有一定強制性。 主要 目標是有效地提高我國信息和信息系統(tǒng)安全建設的整體水平，重點保障基礎信息網絡 和重要 信息系統(tǒng)的安全 NIST SP 800 聯(lián)邦機構或非政府組織 與 FIPS不同，是非強制性的。但聯(lián)邦機構應采納 FIPS中要求使用的 NIST SP以及 OMB要求的特定 NIST SP。 以風險管理方法為基礎 ， 應用 時有一定的 靈活性 課程內容 53 知識體 知識域 知識子域 信息安全 管理 體系 信息安全 管理體系建設 信息安全管理體系認證 文檔控制 管理職責 規(guī)劃與建立 ISMS 信息安全 管理體系基礎 內部審核和管理評審 信息安全 控制措施 實施 和 運行 ISMS 監(jiān)視和評審 ISMS 保持和改進 ISMS 知識域：信息安全管理體系基礎 知識子域： 管理職責 ?理解 管理者履行管理職責對成功實施信息安全管理體系（ ISMS）的重要推動作用 ?掌握實施 ISMS過程中管理者應承擔的管理職責的主要內容 54 管理者履行管理職責的重要作用 ?管理層 切實 履行相應的管理職責是 ISMS能夠成功實施的最關鍵 因素， 會 對 ISMS建設產生推動作用 ?管理者提供足夠的資源是對 ISMS建設實質性的 支持 55 主要管理職責 ?承擔 并履行 職責 ? 制定并頒布信息安全 方針 ? 確保 ISMS目標和相應的計劃得以 制定 ? 建立信息安全的角色和 職責 ? 向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的 重要性 ? 決定風險可接受級別和風險可接受準則 ? 確保 ISMS內部審核的 執(zhí)行 ? 實施 ISMS的管理 評審 ?提供足夠 資源 ? 資金 ? 能勝任相關工作的人員（通過提供培訓、教育） 56 知識域：信息安全管理體系基礎 知識子域： 文檔控制 ?理解 文檔化對實施 ISMS的重要性 ?理解風險評估結果是編制 ISMS文件的依據(jù) ?了解對 ISMS文件和記錄進行保護和控制的常規(guī) 措施 57 文檔化對實施 ISMS的 重要性 ?文檔包括文件 (如方針、策略、標準、指南等 )和記錄 ?文件 是 ISMS的 一個關鍵要素 ， 是 組織 內部的“法”，也 是 ISMS審核的依據(jù) ?記錄 是文件 執(zhí)行情況的客觀證據(jù)，為各項控制措施是否有效實施、 ISMS是否有效運行提供客觀 證據(jù) ?層次化的文檔是 ISMS建設的直接體現(xiàn)，也是 ISMS建設的成果 之一 ?應對文件和記錄進行控制 58 文件編制依據(jù) ?風險評估的結果是文件編制的直接依據(jù) ?有風險的地方才需要管理和 控制 ?依據(jù)風險評估結果編制的文件體系才是最適合的、最需要的 59 易于管理和維護的 ISMS層次化 文檔結構 方針 、 手冊等 管理制度 、 程序 、 策略文件等 操作規(guī)范 、 規(guī)程 、 作業(yè)指導書 、 模板文件等 計劃 、 表格 、 報告 、 各種運行 /檢查記錄 、 日志文件等 一級文件 二級文件 三級文件 四級文件 ?一級文件：方針性 文件 ?二級文件：信息安全管控 程序、管理 規(guī)定性 文件 ?三級文件：操作 指南、作業(yè) 指導書 類 ?四級文件：體系運行的各種 記錄 下級文件應支持上級 文件 60 文件控制 ?文件 在發(fā)布以前，應得到相應 級別管理 層的 批準 ?定期評審 、更新并再次得到批準，當發(fā)生重大變化或重大信息安全事件 時應及時評審 和 修訂 ?對 文件的修訂和修訂狀態(tài)、版本進行 標識 ， 確保 員工使用文件的最新 版本 ?標明 每份文件的密級和分發(fā)范圍 61 記錄 控制 ?明確 記錄 的保存環(huán)境 要求 ?明確 保存 期限 要求 ?明確 訪問 控制 要求 ?明確 檢索要求 （ 比如 ，支持按特定條件進行查詢和 統(tǒng)計 ） 62 知識域：信息安全管理體系基礎 知識子域： 內部審核和管理評審 ?了解 內部審核的概念，以及內部審核的目的、實施主體、實施方式、審核準則 ?了解管理評審的概念，以及管理評審的目的、實施主體、實施對象、實施方式 63 內部審核 ?是 用于內部目的，由組織自己或以組織的名義所進行的 審核 ?也 稱第一方 審核 ?是 ISMS能夠持續(xù) 改進的重要動力 之一 ?組織 應按照既定的周期實施 ISMS內部 審核 64 內部審核 ?目的 ? 確定 ISMS的控制目標、控制措施是否符合相關標準和法律法規(guī)以及合同條款的 要求 ? 確定 各項 控制措施是否得到有效的實施和 保持 ? 確定 員工 的業(yè)務行為是否符合組織 ISMS文件所規(guī)定的要求 ?實施主體 ? ISMS內審小組 ?實施方式 ? 文件審核、現(xiàn)場審核 ?審核準則 ? 相關標準、法規(guī)法規(guī)、合同 條款 、 ISMS文件 65 管理評審 ?為實現(xiàn)已建立的目標 ， 而進行的確定管理體系的適宜性、充分性和有效性的活動 ?也 是 IS